Come hackerare l’ultimo iOS 15 su iPhone13: lo spiegano i cinesi

Qualche buon motivo per vedere cosa è accaduto nel corso dell’ultima edizione della Tianfu Cup, il principale hacking contest cinese
2 minuti di lettura

La Tianfu Cup è il più importante contest di hacking che si tiene da quattro anni in Cina, quest'anno gli esperti cinesi che vi hanno preso parte hanno guadagnato 1,88 milioni di dollari dimostrando come sfruttare diverse vulnerabilità in popolari software.

L'edizione di quest'anno si è svolta lo scorso fine settimana nella città di cinese di Chengdu, ben dodici squadre di esperti cinesi si sono confrontati per trovare vulnerabilità in popolari software come il sistema operativo Windows, la distribuzione Linux Ubuntu, Google Chrome ed il sistema iOS che gira sui dispositivi Apple come iPhone. Di seguito i premi offerti ai partecipanti per ciascuno dei 16 obiettivi di questa edizione.

 

Ben 13 degli obiettivi sono stati compromessi:
•    Windows 10  – hackerato 5 volte
•    Adobe PDF Reader  – 4 volte
•    Ubuntu 20  – 4 volte
•    Parallels VM  – 3 volte
•    iOS 15  – 3 volte
•    Apple Safari  – 2 volte
•    Google Chrome  – 2 volte
•    Router ASUS AX56U  – 2 volte
•    Docker CE  – 1 volta
•    VMWare ESXi  – 1 volta
•    VMWare Workstation  – 1 volta
•    qemu VM  – 1 volta
•    Microsoft Exchange  – 1 volta


Le regole del contest sono semplici, stabilita una lista di software in cui trovare falle, i partecipanti avevano tre tentativi di cinque minuti ciascuno per dimostrarne l’esistenza.

Il vincitore di quest’anno è la squadra della azienda di sicurezza Kunlun Lab i cui componenti hanno guadagnato un totale di ben 654.500 dollari per aver dimostrato diverse vulnerabilità nei software riportati.

Ma veniamo al primo dei motivi per cui è importante seguire manifestazioni come questa, ovvero la scoperta in falle in software di largo utilizzo che potrebbero consentire ad un attaccante di compromettere i sistemi che li utilizzano senza che le vittime se ne rendano neppure conto.

Quest’anno una delle squadre partecipanti è riuscita a dimostrare un exploit, ovvero un codice per sfruttare una vulnerabilità, nell’ultimo sistema operativo Apple iOS 15 in esecuzione su un iPhone 13.

La squadra Chian Pangu ha vinto il premio più alto della storia di questa competizione per questo exploit, ben $ 300000.

Ancora più interessante è che la falla scoperta consente ad un attaccante remoto di eseguire codice arbitrario telefono delle vittime senza alcuna iterazione da parte loro.

Questa tipologia di falle è estremamente pericolose, consentono ad un attaccante di poter prendere completo controllo dei dispositivi delle vittime. Falle simili sono state utilizzare a più riprese da software di sorveglianza come lo spyware dell’azienda israeliana NSO Group al centro di diverse critiche perché anche utilizzato per tracciare dissidenti, attivisti e giornalisti in tutto il mondo.

La scoperta di questa falla, una volta riportata ad Apple, potrebbe da un lato consentire di aumentare la sicurezza dei dispositivi attraverso il rilascio delle necessarie patch, ma anche alla scoperta di attacchi che probabilmente già sfruttano la falla.

I partecipanti hanno anche dimostrato un exploit per l'esecuzione di codice remoto contro Google Chrome, si tratta della prima volta che questo tipo di falle è stato dimostrato alla Tianfu Cup. Anche in questo caso, una falla simile potrebbe essere sfruttata per compromettere il sistema di un utente Chrome che viene indotto a visitare un sito opportunamente predisposto per sfruttare la vulnerabilità.

All’edizione di quest’anno non sono state dimostrate vulnerabilità nei dispositivi NAS Synology DS220j, negli smartphone Xiaomi Mi 11, ed in un veicolo elettrico cinese di cui non è stato reso pubblico il nome.

Ma l’osservazione della Tianfu Cup è ritenuta importante da molti esperti di intelligence soprattutto perché fornisce indicazioni preziose su una parte dell’ecosistema di esperti della Cina e delle relative capacità. È noto, infatti, che principali aziende di sicurezza cinesi operano per conto del loro governo e per questo motivo alcune delle falle scoperte potrebbero essere state già impiegate, o potranno esserlo in futuro, in campagne di spionaggio attribuibili a Pechino.

Sarebbe interessante poter assistere a diverse competizioni simili anche in Europa e soprattutto nel nostro paese. Gli hacking contest sono eventi molto importanti in cui esperti da tutto il mondo si confrontano sullo stato dell’arte delle principali applicazioni che utilizziamo quotidianamente.